Cisco Cisco Firepower Management Center 4000 User Guide

27-58

FireSIGHT 系统用户指南

第 27 章      使用应用层预处理器       

  使用 SSH 预处理器检测攻击

选择 SSH 预处理器选项

许可证：保护

本节介绍了可用于配置 SSH 预处理器的选项。

如果发生以下任何一种情况，预处理器将停止检查会话流量：

对于某个数量的加密数据包，服务器与客户端之间发生有效交换；连接继续保持。

在达到在 

 中设置的值之前，达到要检查的加密数据包

数量；假设发生了攻击。

在 

 中设置的数量内的每个有效服务器响应会重置 

，且数据包计数继续进行。

可考虑以下 SSH 预处理器配置示例：

：22

：off

：80

：25

：19,600

所有检测选项均启用。

在本示例中，预处理器仅检查端口 22 的流量。也就是说，自动检测被禁用，因此只检查指定的
端口。

此外，如果发生以下任何一种情况，本示例中的预处理器会停止检查流量：

客户端发送 25 个加密数据包，这些数据包总共不超过 19,600 字节。假设没有发生攻击。

客户端发送 25 个加密数据包，这些数据包总共不超过 19,600 字节。在这种情况下，预处理
器可将发生的攻击视为质询-响应缓冲区溢出攻击，因为本示例中的会话为 SSH 版本 2 会话。

本示例中的预处理器还将检测处理流量过程中发生的以下任何情况：

服务器溢出，由大于 80 字节的版本字符串触发，表明为 SecureCRT 攻击

协议不匹配

数据包的传输方向错误

最后，预处理器将自动检测任何版本字符串 （版本 1 和 2 除外）。

如果在以下描述中未提到任何预处理器规则，该选项不与预处理规则相关。

服务器端口

指定 SSH 预处理器应检查其流量的端口。

可以配置单个端口或端口的逗号分隔列表。

将预处理器设置为会自动检测 SSH 流量。

如果选择此选项，预处理器会检查某个 SSH 版本号的所有流量。如果客户端和服务器数据包
均没有包含版本号，预处理器将会停止处理。如果禁用此选项，预处理器只检查在 

 选项中确定的流量。